某银行信息科技非驻场外包管理办法
xxxx银行
信息科技非驻场外包管理办法
第一章总则
第一条为规范xxxx银行(以下简称“我行”)信息科技非驻场外包活动,保障我行信息系统安全持续稳定运行,降低信息科技非驻场外包风险,依据中国银监会《银行业金融机构信息科技外包风险监管指引》和《银行业金融机构外包风险管理指引》,结合我行实际,特制定本管理办法。
第二条本办法所称非驻场式外包是指外包服务商不在我行提供现场服务,或外包的关键基础设施和信息系统不在我行产权场所,由我行以租用设施或购买服务资源的方式获得,主要由外包服务商运维的外包方式。
第二章非驻场外包职责管理
第三条我行信息科技部是信息科技非驻场外包的职能管理部门。
第四条我行信息科技非驻场外包管理中其他涉及的部门包括:非驻场外包服务使用部门(外包服务直接应用部门)、非驻场外包审批部门、风险管理部和审计部等。
第五条我行信息科技部作为信息科技非驻场外包管理部门,其基本职能如下:
商业银行信息科技风险管理解决方案
商业银行信息科技风险管理解决方案 本帖最后由 infosec123 于 2009-9-23 17:16 编辑 背景 为加强商业银行的信息科技风险管理,提升信息科技风险管理能力,09年3月份银监会正式发布了《商业银行信息科技风险管理指引》(以下简称《指引》),这是继出台有关《商业银行操作风险管理指引》、《商业银行市场风险管理指引》和《商业银行合规风险管理指引》等一系列的监管文件之后,银监会发布的又一重要风险管理指引。该指引适用于在中华人民共和国境内依法设立的法人商业银行。政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 信息科技风险是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。它和操作风险、信用风险、市场风险一样,是商业银行面临的主要风险。现阶段商业银行已经基本完成了信息化建设,在金融管制放松、业务全球化、金融创新步伐加快以及信息技术的迅猛发展的大背景下,国际银行业金融机构的信息科技风险有增大的趋势,国际银行业和监管当局都日益重视信息科技与操作风险的管理和监管。目前,国际上宣布实施新资本协议的国家和地区都按照新协议的要求,明确将操作风险纳入资本监管的范畴,而信息科技风险是操作风险的重要组成部分。 需求分析合规性需求: 近年来,国家各部门不断推出了各种监管要求,对IT管控领域也提出了明确的要求。其中与银行业信息科技风险相关的法律、法规与行业监管指引有: 2002年,美国国会发布了SOX《萨班斯[url=; 2004年9月30日,中国银监会发布了[url=; 2006年,银监会发布《电子银行安全评估指引》、《[url=;
中国人民银行信息安全管理规定
中国人民银行信息安全管理规定 第一章总则 第一条为强化人民银行信息安全管理,防范计算机信息技术风 险,保障人民银行计算机网络与信息系统安全和稳定运行,根据《中华 人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系 统安全保护工作暂行规定》等规定,特制定本规定。 第二条本规定所称信息安全管理,是指在人民银行信息化项目立 项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、 环境、网络和操作安全的一系列管理活动。 第三条人民银行信息安全管理工作实行统一领导和分级管理。总行统一领导分支机构和直属企事业单位的信息安全管理,负责总行机关 的信息安全管理。分支机构负责本单位和辖内的信息安全管理,各直属企事业单位负责本单位的信息安全管理。 第四条人民银行信息安全管理实行分管领导负责制,按照“谁主 管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个 人信息安全责任制。 第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位(以下统称“各单位”)。所有使用人民银行网络或信息资源的其 他外部机构和个人均应遵守本规定。 第二章组织保障
第六条各单位应设立由本单位领导和相关部门主要负责人组成 的计算机安全工作领导小组,办公室设在本单位科技部门,负责协调本单位及辖内信息安全管理工作,决策本单位及辖内信息安全重大事宜。 第七条各单位科技部门应设立信息安全管理部门或岗位。总行机关、分行、营业管理部、省会(首府)城市中心支行、副省级城市中心 支行科技部门配备专职信息安全管理人员,实行 A、B 岗制度;地(市) 中心支行和县(市)支行设立信息安全管理岗位。 第八条除科技部门外,各单位其他部门均应指定至少一名部门计 算机安全员,具体负责本部门的信息安全管理,协同科技部门开展信息 安全管理工作。 第三章人员管理 第九条各单位工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。 第一节信息安全管理人员 第十条各单位应选派政治思想过硬、具有较高计算机水平的人员 从事信息安全管理工作。凡是因违反国家法律法规和人民银行有关规定 受到过处罚或处分的人员,不得从事此项工作。 第十一条各单位信息安全管理人员应经过总行或分行、营业管 理部、省会(首府)城市中心支行组织的专业培训与审核,培训与审核 合格后方可上岗。上岗后,每年至少参加一次信息安全专业培训。
银行员工离职管理办法.doc
附件: ⅩⅩ银行员工离职管理办法 第一章总则 第一条为规范员工离职管理流程,加强员工流动管理,保障ⅩⅩ银行(以下简称“本行”)各项工作顺利开展,特制定本管理办法。 第二条本办法适用于全行在编员工,派遣制员工除对劳动关系处理外,其他离职管理事宜应参照本办法规定执行。 第三条“离职”是指员工与本行劳动关系结束,员工离开本行的情形,主要包括员工辞职、辞退员工、合同到期终止、调离本行、除名等。 第二章离职管理职责 第四条员工离职日常管理 (一)离职员工所在单位职责 1、与离职人员进行离职面谈; 2、申请撤销该员工各业务系统及办公系统中相应权限; 3、负责离职员工办公用品等收回工作; 4、负责做好离职员工的工作交接; 5、配合做好相关人员的审计工作; 6、做好脱密期间的管理工作,并及时向人力资源部报告; 7、做好离职人员其他相关工作。
(二)人力资源部职责 1、与离职人员进行离职面谈,了解离职原因; 2、负责离职人员办公系统及人事系统权限的终止; 3、负责与支行做好脱密期期间的管理及薪酬发放工作; 4、负责离职手续办理情况的审核确认; 5、负责做好出具离职证明及档案转移等工作; 6、负责员工离职有关制度的制订和完善。 (三)相关职能部室职责 1、零售银行部负责取消离职人员银行卡的员工卡标记; 2、信贷评审部负责确认离职员工的员工贷款是否收回; 3、风险合规部负责信贷从业离职员工的信贷资产风险责任认定和追究等工作; 4、财务会计部负责离职员工综合业务系统使用权限的终止; 5、总行办公室负责收回工作手机、工作电脑(平板电脑)、饭卡及停车证(ⅩⅩ大厦办公员工)等,办理集体宿舍退房手续,取消手机彩铃等工作; 6、审计部负责须办理离职审计员工的审计; 7、工会负责离职员工货币化分房补贴应退缴部分金额的收回和服装费的收回; 第五条人力资源部对离职条件进行审核,待符合各项条件后提交总行党委会研究决定。 第三章离职办理流程 第六条基本流程 1、本人书面提出离职申请;
中小银行信息科技管理中存在的问题及改进建议
中小银行信息科技管理中存在的问题及改进建议 随着我国银行业信息化建设的持续发展,信息科技与银行业务的深度融合,银行业的发展已经离不开信息技术的支持,信息科技已经成为当今银行业业务发展的核心支撑,其重要性不言而喻。然而,信息科技在退推动银行业快速发展的同时,随之而来的信息科技风险亦不容忽视,已经成为影响银行业稳定发展的重要因素。一旦信息科技环节出现风险,将会给银行经营带来巨大影响,甚至是造成银行业务停滞,影响百姓生活及社会稳定。笔者结合村镇银行自身发展,对中小银行信息科技日常管理中存在的问题及改进措施提出以下建议。 一、现状与问题 (一)对信息科技风险认识不到位,管理体系不完善 以村镇银行为例,其信息科技风险管理水平还处在风险管理的初级阶段。有些村镇银行虽然制定了发展战略,但缺乏与业务发展战略相一致的信息科技发展战略,同样也缺乏信息科技风险战略来指导信息科技风险管控工作,信息科技风险管理尚未纳入全面的风险管理体系。首先是信息科技风险认识上不到位。在作为小银行的村镇银行中普遍存在着一些问题,例如对信息科技风险了解的不够细致,对信息科技风险管理相对薄弱,信息科技的风险管理缺乏业务、风险管理、内部审计等部门甚至更高级管理层的有力支持。其次,信息科技管理体系不完善。大部分村镇银行虽然制定了相关的信息科技管理制度,但制度建设、人员管理、岗位设置缺少整体的风险管理概念,缺少完整的信息科技安全管理体系。
(二)科技投入水平普遍较低 目前,中小商业银行的科技收入整体能力偏低。科技投入主要包括项目建设费用、日常运行维护费用、科技人员成本、其他费用等项目。以村镇银行为例,很大数量的村镇银行尚未自行开发业务系统,多是租用发起行的业务系统。这部分村镇银行从本质上可以看作是发起行的一个支行,业务系统运维的重头戏一般都由发起行信息科技部来实施。同时村镇银行高级管理层对科技的重视程度不够,信息科技的投入占运营成本的比重较小,大多在2%以下,该资金份额难以完全满足业务系统运行的维护需要,导致村镇银行部分硬件投入不足,常用易损设备备份不足,一些重要设备达不到双机热备的要求,出现设备损坏无备用设备,无法及时更换,影响正常业务开展的问题。更有一部分硬件设备超寿命运行,做不到及时更换,给信息系统的后期维护带来较大的负担,在银行业务开展的同时也暴露出较大的信息科技风险。 (三)科技队伍建设严重滞后,人才储备不足 信息科技发展的核心是科技人才,银行的信息化建设和发展离不开科技人员的支持。据统计先进银行科技人员平均占银行总人数的比例为3%-4%。然而对于现阶段的村镇银行而言,信息科技人员的配比却严重偏低,人员配备严重不足,存在着较大的人员缺口,从这个角度来看,农村金融机构的信息化能力不足与信息科技人员不足有着必然的联系。现实的情况不免让人感到忧虑,无法满足科技管理的整体要求。
银行桌面安全管理制度
桌面安全管理制度 总则 为加强XX农村商业银行个人桌面终端的安全使用,保证个人桌面终端操作系统、周边硬件、应用系统的安全使用,切实防范和降低因桌面终端使用不当,对信息系统带来的安全风险,制定本办法。 本办法适用于办公网所有桌面终端管理。公司范围内个人桌面终端设备上线直至报废前的使用过程,应按本办法相关规定进行管理。 个人桌面终端定义:接入XX农村商业银行网络的用于办公的各类计算机及所属设备。 网络准入 ?准入条件 接入OA办公网计算机必须安装桌面安全管理系统客户端软件; 当设备无法安装桌面系统软件,如打印机及CE终端等,各部门设备负责人员需要事先申报,见附件一(总行申报给科技部,各网点申报给本区域支行桌面系统管理人员)对设备进行mac认证处理;XPE终端及pc设备使用OA账户用户名和密码认证,成功后进入正常网络; ?准入管理 个人桌面终端设备接入公司办公网络前,由使用人根据工作需要提出增加终端的申请,并经相关部门人员审批后通过桌面系统需求变更单报送相关部门批准后方可接入。
禁止未安装桌面管理系统客户端及未审批的设备接入办公网络; 桌面系统管理人员,定期对日志进行审查,查看是否有未安装桌面管理系统客户端,并对非法接入设备定位及规范处理; 禁止使用他人帐号登陆网络准入系统,禁止将帐号提供给他人使用。 Mac认证设备需要更换端口时,各部门设备负责人员需要事先申报,见附表二(总行申报给科技部,各网点申报给本区域支行桌面系统管理人员)对设备变更进行记录; 各区域准入服务器管理人员,需要定期对准入系统数据库进行备份,防止服务器宕机造成用户数据丢失,引发网络准入失效。 桌面安全 ?基本安全 使用人离开座位,应锁闭计算机屏幕,下班后,应关闭计算机;新购入的终端设备必须经过相关部门登记、编号、贴标签卡后,才能交使用者领用,相关部门设备负责人员需配合用户注册桌面管理系统软件并完善信息。 个人桌面终端设备因使用时间较长或严重损坏而无法修复及超过固定资产使用年限需要报废的,由使用部门提出申请并按相关报废流程办理,对已批准报废的个人桌面终端设备,应在桌面关系统资产统计中及时删除。 个人桌面终端设备上安装、运行的软件都必须为正版软件,未经授权的软件不得在个人桌面终端设备上安装、运行。桌面系统管
公司网上银行管理办法
网上银行管理办法 第一章总则 为保证公司资金安全,加强资金收支管理,提高工作效率,特 制定本管理办法。 第二章网银的开通与使用 一、申请网银开通 (一)网银开通审批工作流程 公司申请开通网上银行,需由出纳提出申请,并填写“网银开 通申请表”(编号********1),经公司会计、总经理、董事长审批后方可办理。 (二)开通网银工作流程 1、公司出纳负责填写并报送网银申报资料。 2、银行审核通过后与公司签订“网银开通协议”,并向公司发放《密码函》与USBKEY,退还“网银开通协议”的“企业留存联”。 3、公司出纳完成网银开通手续后,必须填写“网银开通备案 登记表”(编号********2),并将《密码函》、USBKEY、“网银开通 协议”(企业留存联)一并呈送办公室存档保管。 二、网银系统首次使用 (一)网银系统首次安装 公司出纳负责网银的安装(详情参照对应银行操作手册)。 (二)严格划分网银操作管理权限
网上银行开通后,由总经理按照不同的管理权限分别指定网银操作人员和网银审核人员,并分别移交USBKEY。 网银操作人员、网银审核人员必须严格保管好自己的USBKEY与密码,不得遗失,严禁向他人透露自己的密码。 (三)更改初始密码 1、网银操作人员更改初始密码工作流程 ○1网银操作人员将装有数字证书的USBKEY插入USB接口,登录网上银行地址。 2○ 点击“企业网上银行”对话框,待网页切换成功后,进入企业网上银行操作界面,具体操作顺序如下: A、选择用户名。 B、点击“选择数字证书”对话框,按照对应银行规定,输入默认密码或不输入密码。 3○ 点击“USBKEY密码”对话框,输入初始密码,进入网上银 行业务操作界面。 ○4初次登录网银后,操作人员必须重新设置USBKEY的登录密码并且牢记,避免再次登录时因密码错误影响正常操作。 2、网银审核人员更改初始密码工作流程 网银审核人员参照上文“网银操作人员更改初始密码工作流程”中的具体规定进行操作。 三、增加网银账户
银行信息科技IT设备管理制度模版
银行信息科技IT设备管理制度 为加强某银行信息设备的管理,确保信息设备正常可靠地运转,保证各部门日常工作的顺利开展,特制定本制度。 一、信息设备统一列册登记(固定资产) 各部门的信息设备实行管理和使用两分离的原则,统一由信息中心管理,各个渠道购入的信息设备均应作为固定资产统一列册登记。 二、信息设备范围 信息设备是指各部门日常办公使用的信息设备,包括服务器、网络设备、监控设备、电脑(含主机、显示器及配套外设)、打印机、复印机、传真机、扫描仪等设备。 三、信息设备使用管理 各部门负责人为第一责任人,对本部门计算机及相关设备的硬件管理负总责。 1、各部门人员保护好各自的电脑及其它相关设备(如打印机、复印机、传真机等),认真做好?防尘、防潮、防火、防盗、防故障、防雷击?的?六防?工作。 2、爱护计算机及其相关硬件设备,不得让设备在空闲时,长期处于工作状态,不得人为损坏,不得在设备上堆压重物,避免强光照射设备表面,让其处于通风环境下,下班时检查设备是否关闭电源。 3、养成人走关机的良好习惯,节约用电、节约用纸、节约使用耗材等相关资源。 4、用于个人办公的信息设备,都将直接分配到个人使用和保管。个人都必须对自己领用的设备负责。领用(退回)任何设备时,都必须认真清点并签收(签退)。 5、直接分配到各部门的专有设备(服务器、网络设备、电脑、打印机、复印机、传真机等),各部门都必须对本部门使用的专有信息设备负责,日常管理工作由指定的人员(或内勤)负责。 6、各人原则上只能使用自己分配的计算机。非必要时,不能将机器交由他人操作(特别是非本行人员)。未经当事人同意,不能擅自在他人的计算机上进
银行员工劳动纪律管理办法
银行员工劳动纪律管理办法
关于印发《银行员工劳动纪律 管理办法(修订)》的通知 各支行、机关各部室: 现将《银行员工劳动纪律管理办法(修订)》印发给你们,请认真遵照执行。 附件:银行员工劳动纪律管理办法(修订) 某某某某有限公司 2016年8月1日
银行员工劳动纪律管理办法(修订) 第一章总则 第一条为加强劳动管理,严肃劳动纪律,改进工作作风,提高工作效率和服务质量,依据国家劳动法规及省联社干部员工管理办法的相关规定,特制定本办法。 第二条本办法管理对象为银行所有(除经有关部门批准的离退休人员、内部退养人员外的)在岗在册员工,包括总行机关工作人员、借调及上挂锻炼员工、城区各支行在岗正式员工、劳务派遣制工勤人员。 第三条银行员工考勤及休假的管理和考核由总行综合人教部组织实施,机关各部室及城区各支行负责落实。 第二章正常工作日考勤 第四条正常工作日系指每周一至周五以及因国家法定假日调整休息日而照常上班的周六、周日。 第五条正常工作日作息时间由总行综合人教部按照不同机构、不同岗位、不同季节统一发布,城区各支行可根据具体情况,在不违反总行统一作息时间规定,又能改善服务、确保正常营业并保证安全的前提下制定本单位作息时间。 第六条全行均实行考勤登记制度,考勤登记表由总行综合人教部统一制定并下发。每个工作日分上、下午的出勤情况进行登记,登记事项包括到岗时间、迟到、早退、旷工、事假、病假等。 第七条城区各支行考勤登记实行专人专责,考勤登记必须全面、真实、有效。总行机关部室人员考勤统一由各部室主要负责人负责组织开展。
第八条总行综合人教部每月对全行考勤情况进行统计、汇总,发现异常情况及时向分管领导汇报。各单位考勤登记表由单位负责人审查签字后,于次月3日前报综合人教部。 第九条考勤结果纳入员工绩效考核,员工基本薪酬与考勤结果挂钩,凡员工出现迟到、早退、旷工及超假不归等情况,要扣除相应比例的薪酬工资。 第十条总行综合人教部不定期到各单位检查劳动纪律执行情况,并对各单位考勤登记进行监督。 第三章休息日及节假日考勤 第十一条员工在国家法定休息日及节假日原则上不进行考勤,但下列机构及人员在休息日、节假日视同正常工作日进行考勤: 1、各营业网点在休息日、节假日照常开门营业,营业人员按正常工作日考勤; 2、总行机关运营管理部、视频监控中心和信息科技部门在休息日、节假日必须安排人员值班,值班人员按正常工作日考勤; 3、遇重大工作任务,经组织单位通知要求相关人员在休息日、法定节假日正常上班的,上班人员均按正常工作日考勤。 第十二条员工在休息日需要加班并经批准的,在国家法定节假日确需加班或必须正常上班的,原则上安排补休,或按规定发给加班工资。 第十三条总行机关部室负责人、各支行负责人在休息日及法定节假日必须保持24小时通讯联络畅通。 第四章员工请假管理 第十四条所有病(事)假、婚丧产假及年休假都必须出具书面请假手续,逐级按权限审批,经批准后方可休假。
村镇银行信息科技整改报告
关于铁岭新星村镇银行 信息科技内部审计的整改报告 内审合规部于1-2月份对我部门的信息科技相关情况进行了内部审计,审计中发现了一些问题,我部高度重视,认真整改,现将整改情况汇报如下: 一、加强信息技术内控制度的建设 加强与外包行兴业银行的互动,建立本行与兴业银行的良性运行机制,积极参与到兴业银行的相关内部控制流程来,做到托管行和外包行之间的相互牵制和协调。 加强本行内部控制制度的建设,贯彻执行国家有关信息系统相关法律、法规和技术标准,落实人民银行和银监会相关监管要求,履行村镇银行信息系统的规划、研发、建设、运行、维护和管理职责,建立、健全村镇银行信息科技风险管理相关规章、制度,并严格执行。 建立健全良好的控制环境,控制环境是村镇银行信息科技的风险基调;做好各项信息系统的风险评估;进一步做好信息科技的不相容职责相分离、相关业务流程的授权审批制度、信息安全管理等控制活动;加强信息系统建设,信息系统不仅处理内部资料,而且还处理形成企业决策和外部报告所必须的外部事件、行为和条件的信息。我行应加强与外包银行、监管机构、高级管理层、股东以及治理层之间的信息
沟通;做到对信息科技内部控制的持续监控。 二、提高系统维护运行效率 进一步加强与承包方的沟通管理,沟通管理是企业组织的生命线。管理的过程,也就是沟通的过程。企业是个有生命的有机体,而沟通则是机体内的血管,通过流动来给组织系统提供养分,实现机体的良性循环。沟通管理是企业管理的核心内容和实质。 我行应采用书面与口头沟通相结合的沟通制度,例如,提交运维申请单书面文件后,相关人员应及时电话通知兴业相关运行维护人员。采用正式沟通和非正式沟通向结合的沟通方法,正式沟通是通过明文规定的渠道进行信息传递的交流方式,非正式沟通不仅可以获得信息,也是建立信任和关系的沟通。 强化运维体系建设,提升系统服务水平。要进一步完善运维管理流程,健全运维管理制度和标准,确保配置足够的人力、物力、财力来维持安全、稳定的信息科技环境,提升信息科技运维保障能力。在高度上做好管理流程整合,在深度上做好业务流程分解,强化事件分级制度,建立起一个有效的事件分级及响应机制,加强对业务连续性的管理,保障金融服务持续稳定。 三、加强员工的信息科技安全知识培训 进一步提高信息科技人员履职能力。采取有效方式和途
金融机构信息安全管理指引
附件 省银行业金融机构信息安全管理指引(试行) 第一章总则 第一条为切实加强省银行业金融机构(以下简称银行机构)信息安全工作的管理和指导,进一步增强银行机构信息安全保障能力,保障国家经济金融运行安全,保护金融消费权益和维护社会稳定,根据国家和人民银行总行有关规定和要求,特制订本指引。 第二条本指引所称信息安全管理,是指在银行机构计算机系统建设、运行、维护、使用及废止等过程中,保障计算机数据信息、计算机系统、网络、机房基础设施等安全的一系列活动。 第三条省人民银行分支机构按属地管理原则对辖银行机构信息安全工作进行管理、指导和协调。各银行机构负责本系统(单位)的信息安全管理,完成人民银行交办的信息安全管理任务、接受人民银行的监督和检查。 第四条各银行机构信息安全管理工作的目标是:建立和完善与金融机构信息化发展相适应的信息安全保障体系,满足金融机构业务发展的安全性要求,保证信息系统和相关基础设施功能的正常发挥,有效防、控制和化解信息技术风险,增强信息系统安全预警、应急处置和灾难恢复能力,保障数据安全,显著提高金融机构业务持续运行保障水平。 第五条各银行机构信息安全管理工作的主要任务是: (一)加强组织领导,健全信息安全管理体制,建立跨部门、
跨行业协调机制; (二)加强信息安全队伍建设,落实岗位职责制,不断提高信息安全队伍业务技能; (三)保证信息安全建设资金的投入,将信息安全纳入“五年”发展规划和年度工作计划,不断完善信息安全基础设施建设; (四)进一步加强信息安全制度和标准规体系建设; (五)加大信息安全监督检查力度;加快以密码技术应用为基础的网络信任体系建设; (六)加强安全运行监控体系建设; (七)大力开展信息安全风险评估,实施等级保护; (八)加快灾难恢复系统建设,建立和完善信息安全应急响应和信息通报机制; (九)广泛、深入开展信息安全宣传教育活动,增强全员安全意识。 第六条本指引适用于在省设立的各政策性银行、国有商业银行、股份制银行、邮政储蓄银行、城市商业银行、农村商业银行、城市信用合作社、农村信用合作社、村镇银行的总部和分支机构。非银行机构参照执行。 第二章组织机构 第七条各银行机构应建立健全信息安全管理机构。应建立由行领导负责、相关部门负责人及部专家组成的信息安全领导机构,负责本系统(单位)信息安全管理工作,决策本系统(单位)信息安全重大事宜。
银行系统和数据安全管理规定模版
XX村镇银行系统和数据安全管理规定 一、总论 为加强我行系统和数据安全,特制定本规定。 本规定针对我行所有业务系统,包括公文管理、财会、资金、信贷登记、统计等各类管理、办公用系统和综合业务系统。本规定所称数据是指计算机系统上有关民生银行运营的所有文件、数据库、报表、银行发文、签报等,保存形式包括硬盘、各种备份介质(磁盘、磁带、光盘、打印纸)等。 二、系统安全 1、管理信息系统服务器特权用户(超级用户)的密码应有专人保管。管理信息系统服务器的开发、运行、系统管理原则上要分开。 2、服务器的访问日志应严格记录、定期备份、妥善保管,以便出现异常情况时追查。 3、每台计算机均应设立设备责任人;设备管理部门对于设备情况均应登记在册,登记项目应包括以下各项:计算机序列号、型号、IP地址、设备责任人是否配备调制解调器等;对于与外部连网的计算机,如与人民银行、市政府部门以及通过宽带方式上国际互联网等,应严格按照《XX村镇银行网络管理规定》办理。 三、数据安全 1、业务系统无论卸载何种数据,均应有相关业务部门的书面报告并经科技主管领导批准后方可卸载;从业务系统卸载的数据可以是总帐、分户
帐等帐务信息,除客户号、客户名称之外的任何客户信息不得随意卸载;严禁从业务系统或信息系统卸载任何涉及密码、密钥、口令等机密信息的数据,包括客户、柜员、操作员、行员等的身份识别密码和交易密码。 2、数据保密级别分为绝密、机密、秘密、一般;行里已定保密级别的信息按规定的级别处理;系统中的系统管理员口令、数据库管理员的口令为绝密信息,其他涉及密码的信息为机密信息,涉及民生银行运营的信息至少定为机密信息。 3、各类信息均应设立访问控制列表(ACL),按信息级别和访问者级别进行访问权限的检查;密码、密钥要严格管理,严禁泄露,保存密码、密钥的载体如磁盘、纸张等要保存在安全的地方。 四、数据传输 1、针对信息传输的各个环节设计相应的安全措施,对信息传输服务器严格管理;保密级别为机密及以上的信息传输要采用密文传送;有关信息传输的管理人员、发送、接收人员要备案。 2、信息载体(数据盘、磁带、光盘、报表、图形)的管理信息系统中的信息要建立定期备份制度,每周至少一次;要定期检验备份介质的可用性;介质的管理要安全保存,方便恢复。 五、应用程序使用与应用程序安全 系统客户端应用程序应由使用部门和科技人员的同意方可安装,并在科技室备案;客户端的使用人员应严格管理,一人一用户一密码,严禁一个用户名多个人使用或一个人使用多个用户名。(信息系统使用从计算机产生的书面资料,如报表、文件、打印的计算机、网络配置信息等,要妥善
银行柜员制管理办法
xx银行柜员制管理办法 第一章总则 第一条为加强内部控制,防范柜台业务操作风险,促进柜员队伍建设,制定本办法。 第二条本办法所称柜员制是指营业机构由单个柜员独立为客户全程办理指定业务范围内的任一柜台业务,并独立承担相应责任和风险的劳动组合方式。 第三条根据柜员业务范围,柜员制分为两种模式即分柜制和综合柜员制。分柜制模式下,营业机构根据一个或多个柜台业务组合指定柜员业务范围,分设业务柜台,分别由单个柜员独立为客户全程办理指定范围内的柜台业务;综合柜员制模式下,营业机构不分业务种类,由单个柜员独立为客户全程办理本机构法定范围内的全部柜台业务(个别特色业务除外,下同)。 第四条辖内营业机构柜员制模式由分行自行负责审批确定。单一营业机构可以实行分柜制或综合柜员制,也可以根据劳动组合的具体需要,同时实行分柜制和综合柜员制。营业机构可以单独设立开放式低柜,由单个低柜柜员为个人客户提供非现金金融服务。 第五条低柜是指在营业大堂另行设立的开放式零售业务柜台,为个人客户提供转账、卡内销售理财产品、挂失、信用卡、查询等非现金零售金融服务。符合条件的营业机构,低柜可增加个人客户开销户、凭证更换等服务。
第六条分柜制下的柜员称为专柜柜员,其业务范围由营业机构与其分行共同确定,其中低柜柜员业务范围由总行统一设定。综合柜员制下的柜员称为综合柜员,其业务范围为营业机构全部法定柜台业务。 第七条本办法所称柜员除特别指明以外,是指营业机构所有营业柜员,包括业务主管和对私业务主管、临柜柜员、后台柜员、低柜柜员和其它专柜柜员。本办法所称主管柜员是指分行派驻营业机构的营业部经理和履行营业部经理职责期间的业务主管。主管柜员还应执行《xx银行营业部经理派驻制管理办法》。 第二章基本规定 第八条营业机构实行柜员制的基本条件 (一)建立严密的柜员岗位责任制和公平有效的柜员考核机制; (二)营业室内按规定配备电子监控设备,按规定保管录像资料; (三)现金业务柜台安全标准达到《金融机构营业场所、金库安全防护暂行规定》等相关要求; (四)柜员必须经过相应岗位的业务培训和总行统一组织的上岗考试,具有办理相关业务的岗位资格;监管机构对岗位资格有规定的,柜员还应取得规定的岗位资格。 (五)根据柜员岗位的需要,配备合格的出纳机具、票据鉴别
银行信息安全管理办法(试行)[2020年最新]
目录 总则 (2) 第一章组织保障 (2) 第一节信息安全管理人员 (3) 第二节网络管理员 (4) 第三节系统管理员 (4) 第四节一般计算机用户 (5) 第二章机房环境和设备资产管理 (6) 第一节机房安全管理 (6) 第二节柜面和核心业务处理环境安全管理 (7) 第三节设备资产管理 (7) 第三章网络安全管理 (8) 第一节网络规划、建设中的安全管理 (8) 第二节网络运行安全管理 (8) 第三节网间互联安全管理 (10) 第四节接入国际互联网管理 (10) 第四章计算机系统安全管理 (10) 第一节计算机系统开发与集成 (11) 第二节计算机系统运行 (11) 第三节业务操作 (12) 第四节计算机系统废止 (13) 第五章客户端安全管理 (13) 第六章信息安全保护 (14) 第一节使用管理 (14) 第七章文档、数据与密码应用安全管理 (14) 第一节技术文档 (14) 第二节存储介质 (15) 第三节数据安全 (15) 第四节口令密码 (16) 第五节密码技术应用管理 (16) 第八章信息通报、灾难备份与应急管理 (18) 第一节信息通报 (18) 第二节灾难备份管理 (18) 第三节应急管理 (19) 第九章安全监测、检查、评估与审计 (20) 第一节安全监测 (20) 第二节安全检查 (20) 第三节安全评估 (21) 第四节安全审计 (21) 第十章奖励与处罚 (22) 第十一章附则 (22)
银行信息安全管理办法(试行) 总则 为强化我行信息安全管理,防范计算机信息技术风险,保障(以 下简称我行)计算机网络与信息系统安全和稳定运行,根据《中华人 民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定,特制定本办法。 第一条本规定所称信息安全管理,是指在我行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。 第二条我行信息安全管理实行分管领导负责制,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个人 信息安全责任制。 第三条本规定适用于我行各部门、员工宿舍所有使用我行网络或 信息资源的个人均应遵守本办法。 第一章组织保障 第四条综合部下设信息安全保卫管理部,成立信息安全领导小组,全权负责协调本单位信息安全管理工作,决定本单位信息安全重大事宜。 组长:史亚萍
银行员工奖惩管理办法
银行员工奖惩管理办法 [标签:标题]2016 银行员工奖惩管理办法企业员工奖惩管理办法银行员工奖惩管理办法|2015-05-0110:34 为强化公司管理,规范员工行为,弘扬企业文化,调动员工积极性和创造性,维护公司和员工合法权益,特制定本制度。 本制度主要包括员工奖励、员工处罚、奖惩权限等内容。 1职责分工 1.1公司人力资源部 (1)负责制定、修订、解释员工奖惩管理制度。 (2)负责员工奖罚等相关事宜。 (3)负责依据奖惩权限对公司员工奖罚情况进行审核、监督、检查。 (4)公司人力资源部门有权按规定程序,对员工违规违纪行为进行调查处理,凡公司内各单位或员工都有义务配合调查和举证,协助公司掌握资料,查清事实,做出公正评价。 2员工奖励 对在工作中贡献卓著,在推进企业建设、提升企业管理、增进企业效益、树立企业声誉等活动中表现突出的员工予以奖励。 1 / 1 2 ---------------------------------------------感谢观看本文-------谢谢----------------------------------------------------------- [标签:标题]2016 2.1奖励种类 公司对员工的奖励分为精神鼓励和物质奖励,两者可以兼得。
精神鼓励:表彰、记功、晋职、授予优秀管理工作者、十佳项目经理、优秀共-产-党员、技术能手、业务标兵、优秀员工等荣誉称号。 物质奖励是指发给一次性奖金。 2.2奖励范围 员工有下列表现之一者,予以奖励: (1)在完成本职工作(生产)任务、提高工作质量、改善企业经营管理、节约企业资财等方面做出突出成绩并为企业做出重要贡献者。 (2)圆满完成本单位《经营目标责任书》各项目标,并为企业创造卓著信誉和明显效益的。 (3)在生产、科研、管理等方面有发明创造或提出合理化建议,并取得重大成果和成绩者。 (6)及时发现并上报重大事故隐患,防止或杜绝事故发生,使企业利益免受重大损失的。 (7)见义勇为、敢于同违法违纪行为作斗争,为维护企业正常的生产和工作秩序,维护社会秩序有显著功绩者。 (8)一贯忠于职守,遵纪守法,廉洁奉公,工作模 2 / 12 ---------------------------------------------感谢观看本文-------谢谢----------------------------------------------------------- [标签:标题]2016 范带头,且事迹突出的。 (9)其他应当给予奖励的事项。 2.3物质奖励费用预算 由人力资源部按《公司预算管理制度》上报公司预算管理委员会,经审批后列入年度预算。
某银行信息科技问题管理办法
xxxx银行 信息科技问题管理办法 第一章总则 第一条为规范xxxx银行(以下简称“我行”)信息科技问题管理流程,深入分析各类问题发生的根本原因,落实防范和解决措施,防止问题重复发生,根据《商业银行信息科技风险管理指引》等制度,结合我行实际,制定本办法。 第二条本办法适用于我行信息科技问题管理相关的具体工作。 第三条本办法所称问题管理是调查和分析 IT 基础架构、业务系统中存在的隐患和查找事件产生的根本原因。 第四条本办法中问题分为两类: (一)应用类问题,是指需要对业务应用系统进行深入调查分析、找出根本原因并采取消除或规避措施的问题; (二)基础类问题,是指需要对基础架构及其环境进行深入调查分析、找出根本原因并采取消除或规避措施的问题。 第五条本办法所称知识库是指将问题、问题原因及解决措施积累起来,并分门别类的进行管理。 第二章部门及职责 第六条总行信息科技部为我行信息科技问题的职能管
理部门,负责信息科技问题工作的管理。 第七条信息科技部技术支持中心主要负责记录主动识别或被动发生的问题;识别问题的紧急程度和影响程度,进行问题的指派和处理;对问题进行根源分析,提供问题解决方案;对问题进行汇总及分析。 第八条技术支持中心系统管理岗负责应用系统、操作系统等基础软硬件问题的识别、分析、登记和处理,网络管理岗负责网络线路、网络设备等问题的识别、分析、登记和处理,数据库管理岗负责数据库问题的识别、分析、登记和处理;综合管理中心安全管理岗负责安全问题的识别、分析、登记和处理。 第三章问题报告机制 第九条问题管理流程的触发条件包括但不限于: (一)事件经过临时方案解决后,需要调查原因时,可以由信息科技部门人员发起问题管理; (二)含有重大影响及高风险的事件在事件处理恢复后,必须进入问题管理; (三)通过定期的信息科技风险评估与审计发现的问题,必须进入问题事件管理。 第十条信息科技部技术支持中心须及时发现问题并发起问题管理相关流程。 第十一条信息科技部技术支持中心根据问题类型,进
银行信息安全管理办法
XX银行 信息安全管理办法 第一章总则 第一条为加强XX银行(下称“本行”)信息安全管理,防范信息技术风险,保障本行计算机网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等,特制定本办法。 第二条本办法所称信息安全管理,是指在本行信息化项目立项、建设、运行、维护及废止等过程中保障信息及其相关系统、环境、网络和操作安全的一系列管理活动。 第三条本行信息安全工作实行统一领导和分级管理,由分管领导负责。按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实部门与个人信息安全责任。第四条本办法适用于本行。所有使用本行网络或信息资源的其他外部机构和个人均应遵守本办法。 第二章组织保障 第五条常设由本行领导、各部室负责人及信息安全员组成的信息安全领导小组,负责本行信息安全管理工作,决策信息安全重大事宜。 第六条各部室、各分支机构应指定至少一名信息安全员, 配合信息安全领导小组开展信息安全管理工作,具体负责信息安全领导小组颁布的相关管理制度及要求在本部室的落实。。第七条本行应建立与信息安全监管机构的联系,及时报告各类信息安全事件并获取专业支持。 第八条本行应建立与外部信息安全专业机构、专家的联系,及时跟踪行业趋势,学习各类先进的标准和评估方法。 第三章人员管理 第九条本行所有工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。日常员工信息安全行为准则参见《XX银行员工信息安全手册》。 第一节信息安全管理人员 第十条本办法所指信息安全管理人员包括本行信息安全领导小组和信息安全工作小组成员。 第十一条应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和本行有关规定受到过处罚或处分的人员,不得从事此项工作。第十二条信息安全管理人员每年至少参加一次信息安全相关培训。 第十三条安全工作小组在如下职责范围内开展信息安全管理工作: (一)组织落实上级信息安全管理规定,制定信息安全管理制度,协调信息安全领导小组成员工作,监督检查信息安全管理工作。 (二)审核信息化建设项目中的安全方案,组织实施信息安全保障项目建设。 (三)定期监督网络和信息系统的安全运行状况,检查运行操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见。 (四)统计分析和协调处臵信息安全事件。 (五)定期组织信息安全宣传教育活动,开展信息安全检查、评估与培训工作。 第十四条信息安全领导小组成员在如下职责范围内开展工作: (一)负责本行信息安全管理体系的落实。(二)负责提出本行信息安全保障需求。(三)
银行员工廉洁自律管理办法
银行员工廉洁自律管理办法 第一章总则 第一条目的 为加强廉政建设,教育引导员工廉洁自律、奉公守纪,规范员工对外交往和经营活动中收受礼品、礼金和有价证券等的管理,维护本行的名誉和利益,防止个人谋取私利,参照国家《关于对党和国家机关工作人员在国内交往中收受的礼品实行登记制度的规定》,结合本行实际,特制订本办法。 第二条适用范围:本行所有员工(包括干部和普通员工)。 第三条管理原则 (一)上交登记原则 1.员工在公务交往和经营活动中不得接受或索取对方(与本行有合作关系或交易关系的单位或个人)各种礼品、礼金、有价证券等(以下简称礼品、礼金)。因各种原因未能拒收或无法退还的,应当登记并按规定上交。 2.总行员工上交的礼品、礼金全部上交;支行员工收受的礼品、礼金,统一上交到支行,礼品由支行负责管理,礼金(含各种代币券、卡)等必须上交总行管理。 员工一次性收到的土特产价值未超过500元的,由所在部门或支行负责人确定处理,可不用上交。 (二)双线管理原则 1.总行员工上交的礼品、礼金,由人力资源部和稽核部共同管理; 2.支行员工上交的礼品(除礼金外),由支行综合员和风险经理负责管理,总行稽核部定期检查。
第四条管理职责 (一)总行稽核部 1.负责受理总行员工收到的礼品、礼金和支行员工收到的礼金的上交,对未标明价值的礼品、礼金等进行价值认定,并造册登记; 2.负责将员工上交礼品、礼金登记后,按照本行财务管理规定移交总行人力资源部保管和处理; 3.负责对员工收受礼品、礼金行为的检查和监督; 4.定期组织召开廉洁自律管理工作会议,并通报接受礼品、礼金,查处违规收受礼品、礼金等情况; 5.负责对违规收受礼品、礼金未按规定上缴人员按照本行的有关规章制度进行责任认定和处罚。 (二)人力资源部职责 1.负责接受稽核部移交的员工礼品、礼金,并按照本行财务管理规定做好入账和保管; 2.定期与稽核部对保管的礼品、礼金进行清点,防止变质、变坏和损失; 3.负责对上缴的礼品、礼金的使用提出方案,报行长审批后用于本行经营活动; 4. 礼品、礼金的使用应同时报稽核部销账,人力资源部的账实须与稽核部的登记账册保持一致,不一致的须查明原因,按照财务管理规定进行处理。 (三)支行风险经理职责 1.负责接受支行员工上交礼品、礼金,并对未标明价值的礼品、礼金等进行价值认定、造册登记;
商业银行员工管理暂行办法
商业银行员工管理暂行办法 第一章总则 第一条为贯彻以人为本的治行理念,建立和完善商业银行人事管理体系,提高人力资源管理水平,实现人事管理的科学化、规范化、制度化,建设一支适应现代商业银行需要的高素质的员工队伍,根据《中华人民共和国劳动法》和《商业银行股份有限公司章程》的规定,制定本办法。 第二条本行员工管理遵循依法合规、公平、公开、公正的原则。 第二章员工录用 第三条员工录用采用聘用制,在市人事局办理人事关系代理手续,员工聘用应遵循的原则: (一)根据业务发展需要,定期或不定期聘用; (二)全面科学考评,严格择优聘用。 第四条聘用条件 (一)拥护中国共产党的领导,热爱会主义; (二)遵纪守法,品德端正,具有良好的职业道德; (三)专业知识牢固,具有履行本岗位职责的能力; (四)身体健康,能够坚持正常工作; (五)年龄一般在30周岁以下,特殊岗位可适当放宽; (六)国家全日制本科及以上学历,获得学位,或具有中级及以上专业技术职务; (七)实行执业资格制度管理的岗位,应取得相应的执业资格证书;相关岗位符合银行业监督机构规定的任职资格。 第五条聘用方式 (一)聘用国家全日制高等学校本科毕业生; (二)招聘管理人员或专业技术人员; (三)其他方式。 第六条聘用程序 (一)制定计划 1、支行、营业部及总行各部室,根据工作需要和员工状况,提出用人申请,报行人力资源部; 2、人力资源部依据各部门用人申请,提出聘用计划,报行党政联席会研究决定; 3、员工使用,须优先从本行内部调剂安排。 (二)组织实施 1、初选。人力资源部对所有应试者提交的材料进行初审,合格者,寄发考试通知书; 2、考试。面试和笔试相结合,主要测试应试者适应岗位要求的业务素质和操作技能;考察应试者的公共基础知识和专业知识; 3、考察。提出聘用初步人选,组织对初选人员进行考察,主要考察政治思想、道德品质、业务能力、工作实绩等情况; 4、聘用。按程序研究决定聘用人选,发送聘用通知书。 第七条员工聘用 (一)被聘用人员,须进行健康检查,患有严重疾病的(含传染性),取消聘用资格。 (二)被聘用人员,如在发出聘用通知15日内不能报到的,取消聘用资格;特殊情况
银行关于信息科技风险防控工作自查报告
##银行关于信息科技风险 防控工作自查报告 自##年数据大集中以来,我行依托省联社的科技支撑,各项信息管理系统逐步完善,初步建成了信息科技支撑系统,由省联社提供的核心系统对日常业务进行集中处理,其中核心数据的备份、系统运行管理均由省联社统一管理,我行工作重点在于对网络设备、通讯线路及柜面终端设备的正常运行进行科技支撑,因此我行在信息科技风险管理方面的风险较少。目前,根据我行现有业务要求和信息科技发展的规划,要求我们对信息管理、人员、技术等方面提升信息安全管理水平和管理能力,建立管理与技术相结合的全方位的风险管理体系。具体来说,主要采取以下几方面的措施开展信息安全工作。 一、将信息科技风险管理和信息安全纳入我行“十二五”信息科技发展规划。为了提高信息科技风险管理能力,提升信息科技对业务战略发展的可持续支持能力,我行于年初制定了“十二五”信息科技发展规划,信息科技风险管理和信息安全成为科技规划的重要组成部分之一。科技规划中明确了信息科技发展方向,强调了科技基础建设,提高信息科技风险管理水平,有效防范信息科技风险。
二、完善信息科技治理,大力开展信息科技风险管理制度建设。从只注重提高硬件配置水平逐步转变为同时注重软件投入和业务管理的综合管理。例如,以前我们在信息安全管理普遍存在一个误区,人为部署了高性能的硬件设备、实现网络设备双机热备、内外网严格的物理隔离、做好了生产运行风险控制,就算完成了信息科技风险控制的工作,其实不然,因为信息安全不单是技术问题,更是管理问题,只有持续完善信息科技治理架构,从组织架构和制度等管理层面采取防范措施,才能真正实现信息安全管理的目标。 三、我行在信息科技风险治理方面的措施主要包括三方面。 a)认真学习和领会监管机构对信息科技风险管理的要求,吸收借鉴同业经验,将监管要求和同业经验转化为行内工作规范,建立系统完善的信息科技风险管理组织架构和机制,建立以电子银行部、合规部、稽核部为主体的信息科技风险三道防线;成立以主管领导为组长的信息系统突发事件应急小组、应急处置小组和科技支持保障小组,做好突发事件应急处理。 b)建立健全信息科技规章制度。为了做好制度建设,我行领导高度重视,以我行流程银行建设为契机,完善了相关制度,理顺了相关制度的制定、修订、废止流程和审批制度流程,切实抓好制度建设。 c)采取有效的信息科技风险管理的制度,防范和化解信